安全管理

 

Lns: 安全管理

TCP_wrappers和SSH

一、tcp_wrappers

   1、功能： TCP Wrappers 的主要执行文件是 “tcpd”

tcpd 程序可以将其他的网络服务程序 “ 包裹 ” 起来，从而进行集中的访问控制设置

2、软件

    tcp_wrappers

   3、 设置文件

    “hosts.allow” 和 “hosts.deny” 两个文件的用于保存 TCP Wrappers 基于主机地址的访问控制策略

 

·        “hosts.allow” 文件用于保存允许访问的策略

·        “hosts.deny” 文件用于保存拒绝访问的策略

·        “hosts.allow” 和 “hosts.deny” 文件中保存的设置是即时生效的

 

4、设置文件的格式

< 服务程序列表> ：< 客户机地址列表>[ ：动作]

   “ 服务程序列表 ” 字段的表示

·                  ALL 代表所有的服务程序

·             单个服务的名称，例如 in.telnetd 代表 telnet 服务器程序，       vsftpd 代表 vsftpd 服务器程序

 多个服务程序名称可以组成列表，中间用逗号分隔，例如  “ in.telnetd,vsftpd ” 

 

“ 客户机地址列表 ” 字段的表示

·         ALL 代表所有的客户机地址

·         LOCAL 代表本机地址

·         KNOW 代表可解析的域名

·         UNKNOW 代表不可解析的域名

·         以句点 “.” 开始的域名代表该域下的所有主机，例如 “.ltest.com” 代表 “ltest.com” 域中的所有主机

·         对某个子网中的所有主机使用 “ 子网 / 掩码 ” 的形式表示

·        对于网络中的某个主机可直接使用 IP 地址表示

 

“ 动作 ” 字段使用 “allow” 表示允许，使用 “deny” 表示拒绝

 

建议：采取先 “ 全部禁止 ” 再 “ 逐个开放 ” 的策略设置方法，可以较好的实现 “ 只允许 ……” 的访问

 

 

二、SSH （ Secure SHell ）

1、功能:

   实现了与 Telnet 服务类似的远程登录功能, SSH 协议在网络中使用密文传输数据。在服务器中还支持使用 scp 和 sftp 等客户端程序进行远程主机的文件复制

 

2、认证方式

     基于口令的安全认证

        与 telnet 类似，提供正确的用户口令后可以登录远程服务器    基于密钥的安全认证

         使用公钥和私钥对的方式对用户进行认证

 

3、软件

    openSSH

    openssh 软件包是实现 ssh 功能的公共软件包

    openssh-server 软件包实现了 SSH 服务器的功能

    openssh-clients 软件包中包含了 SSH 服务的客户端程序

       openssh-askpass 和 openssh-askpass-gnome 只有在 Linux 的图形界面下使用 SSH 服务时才需要

 

4、服务程序

    sshd

 

5、配置文件

服务器配置文件

·        SSH 服务器的配置文件是 sshd_config

/etc/ssh/sshd_config

客户机配置文件

·        SSH 客户程序的配置文件是 ssh_config

/etc/ssh/ssh_config

 

 

6、 SSH 的用户目录

·            .ssh” 目录

·        在 SSH 客户主机的用户宿主目录中，使用名为 “.ssh” 的目录保存用户的 SSH 客户端信息

~/.ssh/

·        “.ssh” 目录在用户首次进行 SSH 登录后自动建立

·          “known_hosts” 文件

·        “known_hosts” 文件位于 “.ssh” 目录中

“known_hosts” 文件用于保存当前用户所有登录过的 SSH 服务器的 RSA 密钥